Formal verification of the Pastry protocol

(1)

HAL Id: tel-01750356

https://hal.univ-lorraine.fr/tel-01750356

Submitted on 29 Mar 2018

HAL is a multi-disciplinary open access

archive for the deposit and dissemination of sci-entific research documents, whether they are

pub-L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non,

Formal verification of the Pastry protocol

Tianxiang Lu

To cite this version:

(2)

AVERTISSEMENT

Ce document est le fruit d'un long travail approuvé par le jury de

soutenance et mis à disposition de l'ensemble de la

communauté universitaire élargie.

Il est soumis à la propriété intellectuelle de l'auteur. Ceci

implique une obligation de citation et de référencement lors de

l’utilisation de ce document.

D'autre part, toute contrefaçon, plagiat, reproduction illicite

encourt une poursuite pénale.

Contact : ddoc-theses-contact@univ-lorraine.fr

LIENS

Code de la Propriété Intellectuelle. articles L 122. 4

Code de la Propriété Intellectuelle. articles L 335.2- L 335.10

http://www.cfcopies.com/V2/leg/leg_droi.php

(3)

Formal Verification of the Pastry Protocol

Tianxiang Lu

Dissertation zur Erlangung des Grades

des Doktors der Naturwissenschaften

der Naturwissenschaftlich-Technischen Fakult¨

aten

der Universit¨

at des Saarlandes

(4)

(5)

Tag des Kolloquiums 27. November 2013

Dekan Univ.-Prof. Dr. Mark Groves

Vorsitzender des Pr¨ufungsausschusses Prof. Dr. Holger Hermanns Berichterstatter Prof. Dr. Dominique M´ery

(6)

(7)

D´epartement de formation doctorale en informatique ´

Ecole doctorale IAEM Lorraine

V´

erification formelle du protocole Pastry

TH ´ESE

pr´esent´ee et soutenue publiquement le 27 novembre 2013 pour l’obtention du

Doctorat de l’Université Henri Poincaré – Nancy 1 (spécialité informatique)

par Tianxiang Lu Pr´esident du jury:

Dominique M´ery (professeur, Univ. de Lorraine) Rapporteurs:

Philippe Qu´einnec (professeur, ENSEEIHT, Toulouse) Peter H. Schmitt (professeur, KIT, Karlsruhe)

Examinateurs:

Dominique M´ery (professeur, Univ. de Lorraine) Roland Meyer (professeur, TU Kaiserslautern) Achour Most´efaoui (professeur, Univ. de Nantes)

Directeurs:

Stephan Merz (directeur de recherche, Inria Nancy)

Christoph Weidenbach (research leader, Max-Planck-Institut f¨ur Informatik, Saarbr¨ucken)

(8)

(9)

Abstract

Pastry is a structured P2P algorithm realizing a Distributed Hash Table (DHT ) over an underlying virtual ring of nodes. Hash keys are assigned to the numerically closest node, according to their Ids that both keys and nodes share from the same Id space. Nodes join and leave the ring dynamically and it is desired that a lookup request from arbitrary node for a key is routed to the responsible node for that key which then delivers the message as answer.

Several implementations of Pastry are available and have been applied in practice, but no attempt has so far been made to formally describe the algorithm or to verify its properties. Since Pastry combines rather complex data structures, asynchronous communication, concurrency, resilience to churn, i.e. spontaneous join and departure of nodes, it makes an interesting target for verification.

This thesis formally models and improves Pastry’s core algorithms, such that they provide the correct lookup service in the presence of churn and maintain a local data structures to adapt the dynamic updates of neighborhood.

This thesis focuses on Join protocol of Pastry and formally defines different statuses (from “dead” to “ready”) of a node according to its stage during join. Only “ready” nodes are suppose to have consistent key mapping among each other and are allowed to deliver the answer message. The correctness property is identified by this thesis to be CorrectDelivery, stating that there is always at most one node that can deliver an answer to a lookup request for a key and this node is the numerically closest “ready” node to that key. This property is non-trivial to preserve in the presence of churn.

The specification language TLA+ is used to model different versions of Pastry al-gorithm starting with CastroPastry, followed by HaeberlenPastry, IdealPastry and finally LuPastry. The TLA+ model checker TLC is employed to validate the models and to search for bugs. Validation ensures that the system has at least some useful executions; model analysis helps to discover unexpected corner cases to improve the model. Models are simplified for more efficient checking with TLC and consequently mitigating the state explosion problem.

(10)

the current joining node that it is “ready”. LuPastry is proved to be correct w.r.t. CorrectDelivery under the assumption that no nodes leave the network, which cannot be further relaxed due to possible network separation when particular nodes simultaneously leave the network.

The most subtle part of the deductive system verification is the search for an appro-priate inductive invariant which implies the required safety property and is inductively preserved by all possible actions. The search is guided by the construction of the proof, where TLC is used to discover unexpected violations of a hypothetical invariant pos-tulated in an earlier stage. The final proof of LuPastry consists of more than 10,000 proof steps, which are interactively checked in time by using TLAPS launching different back-end automated theorem provers.

This thesis serves also as a case study giving the evidence of possibility and the methodology of how to formally model, to analyze and to manually conduct a formal proof of complex transition system for its safety property. Using LuPastry as template, a more general framework on verification of DHT can be constructed.

(11)

Zusammenfassung

Pastry ist ein P2P (peer-to-peer ) Algorithmus, der eine verteilte Hashtabelle (DHT) über einem als virtuellen Ring strukturierten Netzwerk realisiert. Knoten-Identifikatoren und Hash-Schlüssel entstammen derselben Menge, und jeder Knoten verwaltet die Schlüssel, die seinem Identifikator am nächsten liegen. Knoten können sich zur Laufzeit ins Netz einfügen bzw. es verlassen. Dennoch sollen Anfragen nach einem Schlüssel von beliebigen Knoten immer zu demjenigen Knoten weitergeleitet werden, der den Schlüssel verwaltet und der die Anfrage dann beantwortet.

Pastry wurde mehrfach implementiert und praktisch eingesetzt, aber der Algorith-mus wurde bisher noch nie mathematisch präzise modelliert und auf Korrektheit unter-sucht. Da bei Pastry komplexe Datenstrukturen, asynchrone Kommunikation in einem verteilten Netzwerk und Robustheit gegen churn, d.h. spontanes Einfügen oder Ver-lassen von Knoten zusammenkommen, stellt das Protokoll eine interessante Fallstudie für formale Verifikationstechniken dar.

In dieser Arbeit werden die Kernalgorithmen von Pastry modelliert, die Anfragen nach Schl¨usseln in Gegenwart von churn behandeln und lokale Datenstrukturen ver-walten, welche die jeweiligen Nachbarschaftsbeziehungen zwischen Knoten zur Laufzeit widerspiegeln.

Diese Dissertation behandelt insbesondere das Join-Protokoll von Pastry zum Ein-fügen neuer Knoten ins Netz, das jedem Knoten seinen Status (von “dead” bis “ready”) zuweist. Knoten mit Status “ready” müssen untereinander konsistente Modelle der Zu-ständigkeit für Schlüssel aufweisen und dürfen Anfragen nach Schlüsseln beantworten. Als zentrale Korrektheitseigenschaft wird in dieser Arbeit CorrectDelivery untersucht, die ausdrückt, dass zu jeder Zeit höchstens ein Knoten Anfragen nach einem Schlüssel beantworten darf, und dass es sich dabei um den Knoten mit Status “ready” handelt, dessen Identifikator dem Schlüssel numerisch am nächsten liegt. In Gegenwart von churn ist es nicht einfach diese Eigenschaft sicherzustellen.

Wir benutzen die Spezifikationssprache TLA+, um verschiedene Versionen des Pastry-Protokolls zu modellieren: zunächst CastroPastry, gefolgt von HaeberlenPastry und IdealPastry, und schließlich LuPastry. Mit Hilfe des Modelcheckers TLC für TLA+ werden verschiedene qualitative Eigenschaften untersucht, um die Modelle zu va-lidieren und Fehler zu finden. Dafür werden die Modelle zum Teil vereinfacht, um das Problem der Zustandsexplosion zu mindern und so die Effizienz des Modelchecking zu verbessern.

(12)

Theorembeweisers TLAPS für TLA+gezeigt. Das Protokoll IdealPastry stellt sicher, dass ein “ready” Knoten zu jeder Zeit höchstens einen neuen Knoten ins Netz einfügt, und es nimmt an, dass (1) kein Knoten je das Netz verlässt und (2) keine zwei Knoten zwischen benachbarten “ready” Knoten eingefügt werden. Der Algorithmus LuPastry verbessert IdealPastry und beseitigt Annahme (2) von IdealPastry. In dieser Ver-sion nimmt ein “ready” Knoten den neu einzufügenden Knoten unmittelbar in seine Nachbarschaft auf und akzeptiert dann solange keinen weiteren neu hinzukommenden Knoten, bis der erste Knoten bestätigt, dass er Status “ready” erreicht hat. LuPastry wird als korrekt bezüglich der Eigenschaft CorrectDelivery nachgewiesen, unter der An-nahme, dass keine Knoten das Netz verlassen. Diese Annahme kann im allgemeinen nicht vermieden werden, da der Ring in separate Teilnetze zerfallen könnte, wenn bestimmte Knoten gleichzeitig das Netz verlassen.

Die größte Herausforderung bei deduktiven Ansätzen zur Systemverifikation ist es, eine geeignete Invariante zu finden, die sowohl die angestrebte Sicherheitseigenschaft impliziert als auch induktiv von allen Systemaktionen erhalten wird. Während der Kon-struktion des Korrektheitsbeweises wird TLC benutzt, um unerwartete Gegenbeispiele zu hypothetischen Invarianten zu finden, die zuvor postuliert wurden. Der Beweis des LuPastry-Protokolls besteht aus mehr als 10000 Beweisschritten, die von TLAPS und seinen integrierten automatischen Theorembeweisern verifiziert werden.

Die vorliegende Arbeit dient auch als Fallstudie, welche die M¨oglichkeit der formalen Modellierung, Analyse und Korrektheitsbeweises von komplexen Transitionssystemen aufzeigt und die dabei notwendigen Einzelschritte und -techniken behandelt. LuPastry kann als Vorlage benutzt werden, um einen allgemeineren Rahmen f¨ur die Verifikation von DHT-Protokollen zu schaffen.

(13)

R´

esum´

e

Pastry est un algorithme qui réalise une table de hachage distribuée (THD) sur un réseau pair à pair organisé en un anneau virtuel de nœuds. Chaque nœud gère les informations dont les clés sont numériquement proches de son propre identifiant, sachant que les espaces d’identifiants de nœuds et de clés sont confondus dans ce protocole. Le protocole admet que des nœuds puissent rejoindre ou quitter l’anneau à tout moment. Il doit néanmoins faire suivre toute requête pour une clé, provenant de n’importe quel nœud, au nœud qui est responsable pour cette clé et qui répondra par l’information recherchée.

Il existe plusieurs implémentations de Pastry qui ont été utilisées en pratique. Cependant, il n’y a pas encore eu de travaux qui visent à décrire formellement l’algorithme ou à vérifier son bon fonctionnement. Intégrant des structures de données complexes, de la communication asynchrone dans un contexte d’un protocole réparti et une robustesse vis-à-vis du churn, i.e. des nœuds qui rejoignent ou quittent le réseau, ce protocole représente un intérêt certain pour être analysé par des techniques de vérification formelle. Dans cette thèse nous modélisons les algorithmes au cœur de Pastry et qui réalisent le service de recherche d’un nœud responsable d’une clé en présence de churn. Ces algorithmes maintiennent en particulier une structure locale de données pour gérer les évolutions dynamiques de la relation de voisinage.

La thèse étudie en particulier le protocole Join de Pastry qui permet à un nœud de rejoindre le réseau et qui associe un statut (variant entre mortetprêt) à tout nœud. Les nœuds prêtsdoivent avoir une vue du voisinage cohérente entre eux ; ils sont autorisés à répondre à des messages de recherche d’informations. La propriété principale de correction qui nous intéresse ici, appelée CorrectDelivery, assure qu’à tout moment il y a au plus un nœud capable de répondre à une requête pour une clé, et que ce nœud est le nœud le plus proche numériquement à ladite clé. Il n’est pas trivial de maintenir cette propriété en présence de churn.

Le langage de spécification formelle TLA+est utilisé pour modéliser différentes ver-sions du protocole Pastry, en commen¸cant par CastroPastry, suivant par Haeberlen-Pastry, IdealHaeberlen-Pastry, puis LuPastry. Le model checker TLC associé à TLA+ sert pour valider des modèles et pour trouver des erreurs, en vérifiant des propriétés qualita-tives. Pour ce faire, nous utilisons parfois des modèles simplifiés pour pallier au problème de l’explosion combinatoire du nombre d’états.

(14)

rejoindre le réseau à la fois, et il suppose que (1) aucun nœud ne quitte le réseau et (2) il n’y a jamais deux nœuds qui rejoignent le réseau en même temps entre deux nœuds prêtsproches l’un de l’autre. Cette dernière hypothèse du protocole IdealPastry est levée dans sa version améliorée LuPastry. Dans cette version, un nœudprêtajoute le nœud désirant rejoindre le réseau immédiatement dans son voisinage et n’accepte d’autre requête à rejoindre le réseau que si le premier nœud à confirmé qu’il est prêt. Il est montré formellement que LuPastry vérifie CorrectDelivery sous l’hypothèse qu’aucun nœud ne quitte le réseau. Cette hypothèse ne peut être relâchée à cause du risque de perte de connexion du réseau dans le cas où plusieurs nœuds spécifiques quittent le réseau en même temps.

La tâche la plus ardue en vérification déductive est de trouver un invariant inductif adéquat qui à la fois implique la propriété de sûreté que l’on souhaite démontrer et est préservé par toute action du protocole. Cette tâche est guidée par la construction de la preuve formelle, et l’utilisation de TLC permet de découvrir des violations inattendues d’invariants hypothétiques postulés au préalable. La preuve finale de LuPastry consiste en environ 10000 étapes de preuve qui sont vérifiées par TLAPS et ses différents outils automatiques de preuve.

Par le biais d’une étude de cas conséquente, cette thèse met en évidence la possibilité et étudie la méthodologie pour la modélisation d’un système de transitions complexe et pour son analyse et vérification déductive formelle en vue d’établir une propriété de sûreté. En se servant de LuPastry comme une calque, un cadre plus général de vérification de THD peut être envisagé.

(15)

摘

_摘要

_要

Pastry 是一个将分布式哈希表（DHT）实现在虚拟环结构上的点对点协议的结构化算法。在这类算法中，哈希密匙（Hash Key）和网络节点共享一个ID域，而密匙被则被分配在和它ID距离最近的网络节点上。网络节点可能随时加入或离开，而该协议正确的预期效果之一就是能够为任意的寻址操作提供正确的路由以便得到正确的答案。 Pastry_{有很多版本并且已经被广泛应用了，但迄今为止，对其算法及正确寻址等性} 质的形式化描述或验证尚未有任何进展。Pastry 综合了复杂的数据结构、异步通讯、并发性、抗震荡性（震荡, churn, 这里指由节点的动态加入和离开所带来的网络拓扑结构的改变）等多种性质，因而对它的形式化验证成为了很有科学价值的研究课题。本博士论文对Pastry的核心算法进行了建模，并改善了协议的设计，最终证明了改善的模型在网络震荡的环境下能够正确寻址。论文重点分析了算法中节点的加入协议并定义了节点在加入的流程中从断连（dead）到准备就绪（ready）的不同状态。仅有准备就绪的节点才能保证一致的哈希映射，并且只有它们能答复寻找密匙的请求。协议的正确性被形式化的描述为CorrectDelivery, 即在网络运行的任意时刻，最多有一个节点能够向寻址操作提供结果，且该点应当是所有完备节点中离密匙最近的节点。在网络震荡频发的状态下，这个性_{质是很难维持的。} TLA+是一种规约语言，在本文中用于对不同版本的Pastry算法进行建模，其中

包括初始的 CastroPastry, 到后继的 HaeberlenPastry，和 IdealPastry以及

(16)

(17)

Acknowledgements

The research that has gone into this thesis has been thoroughly enjoyable. This enjoy-ment is largely a result of the interaction that I have had with my colleagues at the Automation of Logics group of Max-Planck-Institute, the MOSEL group in LORIA and VeriDis group in INRIA, as well as the support by my mother and friends, who gave me invaluable mental support when I was suffering from a bad mood stemming from other things in my life.

First and foremost, I thank my two advisors Christoph Weidenbach and Stephan Merz, who accepted me as their co-tutelle doctoral student, for their constant support and for the time and energy they invested in our joint work. The guidance, encourage-ment and precious advice on both the research topic and the encourage-mentality of thinking and working rigorously have silently extended my character from only efficiency and goal oriented to placing a huge value on quality and methodology.

I thank Arnaud Fietzke, Willem Hagemann, Marek Kosta and Patrick Wischnewski for the countless informal discussions about mathematics, logics, philosophy and the lovely but often also annoying “rings of Pastry”. I have always considered such discus-sions as a major source of the joy of scientific work.

I thank the anonymous reviewers of the publications that are incorporated in this thesis. Their comments have helped me considerably in obtaining a fresh view on some problems and in improving both my results and my presentation thereof.

Of even greater help was the feedback from my colleague Noran Azmy, my friend Mathieu Flinders, my English teacher Alexei Kirk and my friend Cheng Li who proofread this thesis in different parts and various stages of its formation.

I also thank Leslie Lamport and Peter Druschel, who gave me encouragement and some guidance on my research as the inventors of TLA+ and Pastry respectively.

I thank Dominique Méry, Roland Meyer, Achour Mostéfaoui, Philippe Quéinnec and Peter H. Schmitt for joining my thesis committee, as well as for interesting discussions and helpful comments.

(18)

(19)

List of Figures

0.1 L’anneau virtuel de Pastry. . . 3 0.2 M´ethodologie de v´erification en TLA+. . . 6 1.1 Pastry ring. . . 17 1.2 Verification approach using TLA+. . . 20 2.1 Ontology of networks. . . 31 2.2 Framework of formal verification. . . 35 2.3 The model checking process. . . 37 2.4 The interactive theorem proving process. . . 41 2.5 Proof of Cantor’s Theorem in TLA+. . . 51 3.1 Pastry routing example. . . 55 3.2 Overview of the join protocol of CastroPastry. . . 56 3.3 The ring configuration for the counterexample. . . 66 3.4 Counterexample leading to a violation of CorrectDelivery. . . 66 3.5 Extending the join protocol by lease granting. . . 67 3.6 Node departure handling. . . 69 3.7 The ignored “ok” node. . . 72 3.8 Rejoin counterexample. . . 73 3.9 Separation of the network due to simultaneous departures of nodes. . . 74 3.10 Concurrent join with 5 nodes. . . 75 3.11 Flow chart of complete join process of LuPastry. . . 77 3.12 Join example: upgrades of the status. . . 78 5.1 Screen shot of the TLA+ Toolbox running model checker TLC. . . 115 5.2 Violation trace of concurrent join in CastroPastry. . . 119 5.3 Violation trace of departure and rejoin of nodes in HaeberlenPastry

(part 1). . . 121 5.4 Violation trace of departure and rejoin of nodes in HaeberlenPastry

(24)

List of Figures

6.5 Hypothetical violation of CompleteLeafSet by its inductive proof. . . 149 6.6 Separation of the network due to concurrent departures of nodes. . . 151 6.7 Concurrent join with 5 nodes. . . 153 6.8 Hypothetical violation of IRN by its inductive proof. . . 172 6.9 TLA+ codes of the inductive proof of invariants. . . 173 7.1 Different topologies of distributed systems. . . 175

(25)

0 R´

esum´

e ´

etendu

Pastry (Rowstron and Druschel (2001), Castro et al. (2004), Haeberlen et al. (2005)) est un algorithme pair à pair (P2P ) qui réalise une table de hachage distribuée (DHT Heller-stein (2003)) sur le support d’un réseau de recouvrement structuré en un anneau virtuel de nœuds. Plusieurs implémentations de Pastry existent et ont été utilisées en pratique mais à notre connaissance aucune tentative de description formelle de l’algorithme en vue d’une vérification de ses propriétés n’a jamais été entreprise. Puisque Pastry est une réalisation typique d’une DHT intégrant des structures de données assez complexes, de la communication asynchrone, du parallélisme et qui est supposée résister au churn, c’est à dire à l’arrivée et au départ concurrents de nœuds, cet algorithme présente un intérêt certain pour la vérification formelle.

Cette thèse modélise les algorithmes au cœur de Pastry qui fournissent un service de recherche de nœuds en présence de churn et maintiennent une structure de données locale pour tenir à jour l’information sur le voisinage de chaque nœud. Dans ce qui suit nous commen¸cons par motiver nos intérêts de recherche, puis nous concrétisons les objectifs de ce travail, et nous expliquons comment ces objectifs sont atteints. Nous terminons par un aper¸cu de ce mémoire qui servira de guide pour le lire.

0.1 Motivation

La disruption d’un service logiciel tel que Skype (Microsoft (2013)) peut perturber notre vie quotidienne lorsqu’elle rend impossibles les appels des utilisateurs ou inter-rompt brusquement ces appels au milieu d’une conversation. Skype est très connu et utilisé mondialement par des milliards d’utilisateurs pour passer des appels téléphoniques `

a travers Internet. Le jeudi 16 août 2007, le réseau P2P à la base de Skype est devenu instable et a souffert d’une perturbation critique malgré la capacité supposée innée d’un réseau P2P à tolérer de telles perturbations. Arak (2007) affirme quecet événement a révélé une erreur logicielle concernant l’algorithme d’allocation de ressources du réseau qui n’avait jamais été rencontrée auparavant et qui a empêché l’auto-réparation du réseau à fonctionner efficacement. Malheureusement le 23 décembre 2010, des mil-lions d’utilisateurs ont à nouveau été incapables de passer des appels, à nouveau à cause de départs de plusieurssuper-nœuds. Existe-t-il de problèmes fondamentaux dans la conception de tels réseaux qui mènent invariablement à des arrêts intempestifs de temps `

a autre? Sinon, y a-t-il une preuve coh´erente de la correction du protocole?

(26)

0 Résumé étendu

permettant de gérer des milliards d’appels téléphoniques à l’échelle mondiale, selon Mi-crosoft (2013). Ainsi, les systèmes P2P ont gagné en popularité depuis le début du 21ème siècle grâce à leurs propriétés d’auto-organisation et de décentralisation. Notamment, des systèmes P2P structurés réalisent des tables de hachage distribuées (DHT ) qui sont censées fournir

• un routage efficace et fiable;

• une maintenance de la structure distribuée et à faible coût;

• et une robustesse à des arrivées et départs simultanés de nœuds du réseau. C’est pourquoi les DHT servent souvent de base pour des systèmes répartis de grande échelle comme Dynamo (DeCandia et al. (2007)), une plate-forme de stockage commune à différents services au sein d’Amazon. Il est probable que Skype utilise une DHT pour que les pairs puissent trouver l’un l’autre correctement et efficacement.

La correction d’une DHT repose en grande partie sur l’algorithme qui la réalise. Le protocole Pastry est l’une des réalisations de DHT ayant trouvé une large utilisation.1 Il réalise une DHT en affectant des clefs d’objets (par exemple des identifiants de données) `

a des nœuds du réseau de recouvrement (par exemple des ordinateurs connectés à In-ternet) et fournit la primitive lookup pour transmettre une requête au nœud qui gère la clef correspondante.

Questions autour de Pastry

Puisque Pastry réalise une DHT il est intéressant et crucial de comprendre les mécanismes fondamentaux de Pastry et d’analyser et de démontrer ses propriétés de correction. L’article Castro et al. (2004) introduit Pastry par du pseudo-code au niveau des mes-sages échangés. En partant de cet article nous allons étudier les questions suivantes autour de Pastry:

• Comment fonctionne Pastry? En particulier, comment ce protocole r´ealise-t-il une DHT ?

• Que veut dire précisément d’assurer un routage fiable ? Est-ce que Pastry garantit la fiabilité du routage? Comment et à quel degré? Existe-t-il une er-reur fondamentale de conception dans Pastry, et particulièrement dans la version présentée dans Castro et al. (2004), quant aux propriétés de correction, telles que le routage fiable? Si oui, comment ce problème peut-il survenir? Si non, y a-t-il une preuve formelle de la correction du protocole?

• Existe-t-il d’autres propriétés d’intérêt d’une telle réalisation d’une DHT ? Ces propriétés sont-elles reliées les unes aux autres?

1

Dans cette thèse nous distinguons différents niveaux d’abstraction. Nous employons le mot_r´_ealisation pour désigner le raffinement du concept de DHT à un algorithme concret comme Pastry. Le mot implémentation désigne différentes versions d’un algorithme. Les deux mots font référence à

différents niveaux de détail dans la conception, et nous n’utilisons aucun de ces mots pour désigner un logiciel exécutable.

(27)

0.1 Motivation

Figure 0.1: L’anneau virtuel de Pastry.

Les principes du fonctionnement de Pastry

Dans Pastry, les nœuds du réseau de recouvrement sont numérotés par des identifiants tirés dans l’intervalle des entiers [0, 2M − 1] pour un certain M . L’espace des identifiants est considéré comme un anneau, comme c’est montré à la figure 0.1. En particulier, le nœud 2M _{− 1 est voisin du nœud 0.}

Les mêmes identifiants servent aussi de clefs d’objets, de manière à ce qu’un nœud gère les clefs qui sont numériquement proches de son identifiant. Il détient ainsi la copie principale de chaque entrée dans la DHT associée à l’une de ces clefs. La responsabilité des clefs est répartie uniformément selon la distance entre deux nœuds voisins. Si un nœud est responsable d’une clef nous disons qu’il gère ou qu’il couvre cette clef, comme c’est illustré à la figure 0.1.

Les deux principaux sous-protocoles de Pastry s’appellent join et lookup. Le proto-cole join permet à un nœud avec un identifiant non encore utilisé de rejoindre l’anneau. Le protocole lookup retrouve l’information associée par la DHT à une clef donnée (ou, de manière équivalente, le nœud qui couvre cette clef). Le protocole Pastry est censé assurer une association cohérente entre les clefs et les nœuds et fournir un service correct de lookup même en présence de churn, c’est à dire l’arrivée et le départ spontanés de nœuds.

Comme les voisins d’un nœud dans Pastry peuvent changer dynamiquement à cause de churn, chaque nœud maintient dans son état local une structure appelée leaf set qui représente son voisinage immédiat. Comme c’est illustré à la figure 0.1, un leaf set est constitué de deux ensembles de taille égale indiquant les voisins à gauche et à droite. La taille de ces ensembles est un paramètre de l’algorithme. Le contenu des leaf sets est mis `

(28)

par un protocole de maintenance. Pour assurer un routage efficace, chaque nœud de Pastry maintient aussi une table de routage qui contient des nœuds plus distants. Dans l’exemple de la figure 0.1, le nœud a re¸coit une requête lookup pour la clef k . Cette clef n’est pas couverte par a, aussi elle réside en dehors de l’intervalle entre les nœuds les plus distants contenus dans son leaf set. La table de routage du nœud a indique le nœud b comme celui dont l’identifiant partage le plus long préfixe commun avec la clef demandée, et a transmet la requête à ce nœud. Le nœud b continue ce processus et enfin, la requête arrive au nœud c qui est le nœud le plus proche à la clef k et qui couvre donc cette clef. On dit que le nœud c délivre la requête pour la clef k .

Les r´esultats de cette th`ese

Dans cette thèse nous distinguons les nœuds selon leur statut qui peut être dead , waiting , ok et ready et qui indique son degré d’intégration dans l’anneau et sa capacité à répondre à des requêtes. Seuls les nœuds dont le statut estreadysont supposés avoir une vision cohérente de la couverture des clefs dans leur voisinage et peuvent délivrer des requêtes. Nous définissons le concept de routage fiable par la formule CorrectDelivery qui exige qu’à tout moment il existe au plus un nœud qui peut délivrer une requête pour une clef donnée, et qu’il s’agit du nœudreadyle plus proche numériquement de la clef. Il n’est pas trivial de garantir cette propriété en présence de churn. Nous utilisons une méthode formelle de preuve pour démontrer que la propriété CorrectDelivery est vérifiée en présence d’arrivées concurrentes de nouveaux nœuds dans n’importe quelle région de l’anneau, sous l’hypothèse qu’aucun nœud ne quitte le réseau. Nous montrons qu’il est difficile de relâcher cette hypothèse forte car les départs de certains nœuds peuvent induire une séparation permanente du réseau.

0.2 M´

ethodologie

Les méthodes formelles (Clarke and Wing (1996)) fournissent des techniques systématiques et rigoureuses pour spécifier et vérifier la conception d’un système logiciel. Fondées sur des principes mathématiques et logiques, elles peuvent déceler des problèmes d’inconsistance, d’ambigüité ou d’incomplétude au sein des spécifications d’un système. Avec l’avènement des techniques de vérification algorithmique (model checking ) et de preuve automatique qui augmentent très significativement le degré d’automatisation d’une preuve interac-tive, couplées à la haute expressivité de ces méthodes, il est désormais temps d’étudier s’il devient possible d’analyser par des méthodes formelles un protocole réparti d’une complexité réaliste, tel que Pastry.

Questions autour de la m´ethodologie

Au-delà d’une meilleure compréhension de Pastry, cette thèse illustre comment les méthodes formelles peuvent être utilisées pour l’analyse de systèmes répartis, au-delà de la seule découverte d’erreurs dans des systèmes jouets et abstraits:

(29)

0.2 Méthodologie • Comment modéliser formellement Pastry? Quel est le niveau d’abstraction adéquat

pour la mod´elisation?

• Comment exprimer formellement les propriétés de correction de Pastry? Est-il possible, et comment, de démontrer leur invariance tout en considérant les détails du protocole, tels que la communication asynchrone et des structures de données complexes?

• À quel degré la vérification formelle d’un tel système peut-elle être automatisée? Pourquoi TLA+

Cette thèse utilise la méthode TLA+ de Lamport (2002) pour décrire et vérifier la correction du routage et du traitement des requêtes dans Pastry. En effet, TLA+fournit un cadre logique uniforme pour la spécification, le model checking et la preuve formelle. La structure du langage TLA+ est tres appropriée à la vérification de protocoles car le concept d’actions correspond à la définition de protocoles par des règles en réponse aux messages re¸cus.

TLA+ _{est un langage de sp´}_{ecification de haut niveau d’abstraction qui a ´}_et´_{e utilis´}_e pour spécifier et analyser la correction de plusieurs protocoles matériels et qui est large-ment utilisé pour la spécification et la vérification d’algorithmes concurrents et distribués. Les notions de TLA+ _n´_{ecessaires `}_{a la compr´}_{ehension de cette th`}_{ese seront introduites} en plus de détail dans le chapitre 2.

TLC, introduit dans Yu et al. (1999), est l’outil de v´erification algorithmique associ´e `

a TLA+. Il est fondé sur des techniques d’exploration explicite de l’espace d’états et permet de détecter des erreurs dans des modèles TLA+. TLC est particulièrement utile pour la validation d’instances de petite taille de modèles TLA+. Il permet de comprendre dans le détail le comportement d’un système décrit par une spécification TLA+ et de découvrir des propriétés et, plus souvent, des non-propriétés, comme cela sera expliqué dans le chapitre 5. TLC peut être exécuté soit à partir d’une ligne de commande sur un serveur, soit à l’aide d’une interface graphique conviviale appelée Toolbox qui intègre un éditeur pour le langage de modélisation TLA+, ainsi que les outils d’analyse associés tels que TLC. Une première version de la Toolbox TLA+_{, implant´}_{ee sous Eclipse}2_{, est} publiquement disponible depuis février 2010 et régulièrement mise à jour depuis.

TLA+ comporte un langage déclaratif de preuve dont la syntaxe et la sémantique sont décrites en détail dans Chaudhuri et al. (2010) et Cousineau et al. (2012). Un exemple d’une preuve en TLA+ apparaˆıt à la fin du chapitre 6, illustrant sa syntaxe et son utilisation pour la preuve de Pastry.

TLAPS (voir Lamport (2012a)) est une plate-forme interactive de preuve qui per-met la vérification déductive de propriétés de modèles TLA+. Elle comporte un ges-tionnaire de preuves (proof manager, PM) qui interprète le langage de preuve et déroule les définitions d’opérateurs afin de générer les obligations de preuve correspondantes aux différentes étapes d’une preuve TLA+. Le PM fait ensuite appel à des outils de

(30)

Description informelle Mod´elisation en TLA+ Mod`ele

statique Propri´et´es

Modèle dynamique Contre-exemples Model Checking par TLC Modèle validé pour de petites instances Preuve déductive par TLAPS Relaxations d’hypothèses Preuve

Figure 0.2: M´ethodologie de v´erification en TLA+.

vérification automatisés pour essayer de démontrer les obligations de preuve générées. Les outils de preuve fournis avec la version initiale de TLAPS ont été Zenon, un prou-veur fondé sur la méthode des tableaux (Bonichon et al. (2007)) et Isabelle/TLA+, un encodage de TLA+ en Isabelle/Pure (Wenzel et al. (2008)). Depuis 2012, il existe également une interface avec les outils de résolution SMT (satisfiabilité modulo théories) `

a partir de TLAPS, tels que Yices (Dutertre and De Moura (2006)), CVC3 (Barrett and Tinelli (2007)) et Z3 (De Moura and Bjørner (2008)).

Comme nous l’avons dit plus haut, le langage TLA+ est bien adapté à la vérification de protocoles parce que son concept d’actions correspond à la définition de protocoles par des règles en réponse aux messages re¸cus par un nœud du réseau. Aussi, il est aisé de comprendre le langage qui repose sur des concepts élémentaires et classiques mathématiques et logiques. L’intégration de TLC et TLAPS dans la Toolbox rend conviviale l’utilisation des outils de model checking et de preuve sur un même modèle. C’est pourquoi nous utilisons TLA+ dans cette thèse pour spécifier un protocole réparti ainsi que pour analyser ses propriétés et pour vérifier sa correction.

Méthodologie générale de vérification en TLA+

La figure 0.2 illustre la méthodologie de vérification en TLA+ qui comporte les étapes de modélisation, de model checking et de preuve déductive.

Partant d’une description informelle d’un système réparti, la première étape est de

(31)

0.3 Notre preuve de Pastry encoder les propriétés, les structures de données, le comportement et l’environnement du système par un modèle TLA+. Dans cette thèse nous distinguons différentes formes de modèles TLA+: les propriétés expriment des exigences de haut niveau par des for-mules logiques, le modèle statique définit les structures de données par des primitives de TLA+ comme les tableaux, les listes, les fonctions et les enregistrements, et le modèle dynamique spécifie le comportement du système par des actions de TLA+. Dans ce qui suit, l’environnement du système correspondra à des hypothèses qui sont formulées et imposées par des pré-conditions d’actions dans le modèle.

L’étape suivante est l’utilisation itérative de TLC pour déboguer et valider le modèle construit. La limitation principale est ici le problème bien connu de l’explosion com-binatoire de l’espace d’états, aussi est-il nécessaire de restreindre le modèle à un petit nombre d’instances. Des contre-exemples fournis par TLC servent à analyser et corriger le modèle. Une fois les propriétés validées par TLC (ou au moins que TLC ne découvre plus de contre-exemples après l’avoir laissé tourner pendant suffisamment longtemps), le modèle pourra être vérifié en toute généralité par des preuves TLA+.

La vérification déductive de protocoles distribués repose typiquement sur une preuve inductive qui nécessite la découverte et la formulation d’invariants. TLC est là encore utile pour valider la formulation d’invariants hypothétiques avant d’entamer leur preuve. En général, l’invariant doit être renforcé lors de la construction de la preuve. TLAPS est utilisé pour rédiger et certifier la preuve formelle, en la décomposant en des morceaux suffisamment petits pour que les outils de preuve automatiques arrivent à les vérifier. Le résultat final est une preuve TLA+ _{dont chaque ´}_{etape est v´}_erifi´_{ee automatiquement} par TLAPS.

0.3 Notre preuve de Pastry

Cette section donne un résumé général des défis rencontrés et des le¸cons que nous avons retenues pendant la préparation de cette thèse.

L’étude de Pastry commence par la modélisation des aspects statiques et dynamiques de l’algorithme. Le modèle formel CastroPastry de Pastry, basé sur Castro et al. (2004), est analysé par le model checker TLC. Des améliorations successives donnent le modèle formel HaeberlenPastry, intégrant des idées décrites dans Haeberlen et al. (2005). Enfin, TLAPS est utilisé pour démontrer que Pastry vérifie bien la propriété CorrectDelivery pour un nombre quelconque d’instances. Le protocole Pastry est d’abord vérifié dans sa version IdealPastry et sous deux hypothèse fortes qui sont (1) qu’il n’y a pas deux nœuds qui rejoignent le réseau dans une même région de couverture autour d’un nœudreadyet de ses voisins immédiats et (2) qu’aucun nœud ne quitte le réseau. La première hypothèse sera relâchée dans la version LuPastry qui est aussi vérifiée par TLAPS sous l’hypothèse qu’aucun nœud ne quitte le réseau.

(32)

0.3.1 D´efis dans la mod´elisation de CastroPastry et de HaeberlenPastry

Le premier problème a été de déterminer un niveau d’abstraction approprié dans la modélisation formelle de l’algorithme. Par exemple, des bornes temporels servent à lim-iter les temps d’attente de réponse à un message envoyé. Passé ces délais, un nœud peut supposer que le message a été perdu et soit l’envoyer à nouveau, soit suspecter que le destinataire a quitté le réseau. Afin de simplifier le modèle formel et d’améliorer la tractabilité du problème de model checking, les actions dépendantes du temps réel de Pastry sont représentées en TLA+ _{comme si elles apparaissaient de mani`}_ere non-déterministe. Par contre, les détails d’envoi et de réception de messages et le contenu de ces messages ne peuvent être abstraits, et le modèle reflète une communication asyn-chrone dans laquelle il n’y a pas de garantie quant à la préservation de l’ordre des messages envoyés.

Le second défi a été de compléter des détails qui n’apparaissent pas clairement dans la description de l’algorithme Pastry, à l’aide de contre-exemples fournis par le model checker. Par exemple, il n’est pas dit clairement ce que veut dire qu’une structure locale estcomplète, une condition nécessaire pour qu’un nœud puisse passer d’une étape à l’autre dans le protocole join.

Des hypothèses explicites doivent être prises quant au traitement de cas particuliers, et pour cela nous avons parfois examiné le code source de FreePastry (2009). Ainsi, il peut y avoir un recouvrement des deux leaf set d’un nœud, par exemple dans le cas d’un unique nœud actif dans l’anneau. Aucune description particulière de ce cas n’est donnée dans Castro et al. (2004). Nous fournissons une définition précise de la complétude des leaf set, et nous décrivons précisément comment sont traités les cas particuliers dans notre modèle. Parfois nous avons établi plusieurs modèles qui décrivent différentes alternatives, fondées sur des hypothèses qui nous paraissaient plausibles.

Un défi dans un autre registre a été de formuler les propriétés de correction car elles ne sont pas indiquées clairement dans Castro et al. (2004). Le concept d’un nœud ayant le statutreadyest introduit afin de distinguer les nœuds qui ont une vue locale cohérente de la DHT . Seuls ces nœuds peuvent délivrer des requêtes lookup. La propriété principale CorrectDelivery dit qu’une requête lookup pour une certaine clef ne peut être délivrée que par le nœudreadyqui est numériquement le plus proche de la clef. Cette propriété est exprimée par une formule temporelle en TLA+.

Le model checker TLC a été utilisé pour valider et améliorer le modèle Castro-Pastry. Le modèle formel avec quelques résultats du model checking a été publié dans Lu et al. (2010). Le pseudo-code de la version CastroPastry qui contient tous les détails sera donné à la section 3.1.3, et le modèle formel est disponible en ligne à VeriDis (2013).

0.3.2 Analyse des versions CastroPastry et HaeberlenPastry par model checking

Après avoir modélisé Pastry en TLA+ dans le modèle CastroPastry sur la base de Castro et al. (2004), le model checker TLC a été utilisé pour analyser les propriétés de

(33)

0.3 Notre preuve de Pastry ce mod`ele et pour ainsi affiner la compr´ehension de Pastry.

Un contre-exemple à la propriété CorrectDelivery est découvert par TLC pour CastroPastry. Il montre comment deux nœuds peuvent rejoindre le réseau en par-allèle entre deux nœudsreadysans avoir pris connaissance l’un de l’autre à la fin du protocole join. Ce contre-exemple sera décrit en détail à la section 3.2.1.

Il est aisé de voir que ce problème est fondamentalement dû à la communication asyn-chrone, propriété caractéristique de systèmes distribués qui a pour effet de reordonner les messages par lesquels les nœuds échangent leurs états locaux. Une solution inspirée par Haeberlen et al. (2005) et FreePastry (2009) est d’étendre le protocole join par un sous-protocole supplémentaire qui inclut une confirmation de la cohérences des vues du voisinage par un processus appelééchange de bail , et ce protocole est formalisé par le modèle HaeberlenPastry, expliqué en détail à la section 3.2.2. Ce modèle formel est également disponible en ligne à VeriDis (2013).

De manière analogue à la découverte du contre-exemple pour CastroPastry, plusieurs autres contre-exemples sont découverts automatiquement par le biais des anal-yses par model checking des versions CastroPastry et HaeberlenPastry, et ils conduisent à des améliorations des modèles de Pastry. Cette analyse du protocole join et les améliorations y apportées sont décrites en détail à la section 3.2. Plus de détails sur l’analyse par model checking apparaissent au chapitre 5.

0.3.3 Preuve de r´eduction

Après que TLC ne trouve plus de contre-exemples lors de l’analyse d’une instance de HaeberlenPastry comportant quatre nœuds au bout de 24h d’exécution, nous sommes assez confiants dans le modèle pour entamer une preuve déductive de correction pour un nombre quelconque de nœuds. Cette preuve est conduite à l’aide du langage de preuve de TLA+_{, mise en œuvre dans la plate-forme TLAPS pour le développement} et la vérification de preuves en TLA+. Un premier résultat publié dans ? réduit la propriété globale de correction de Pastry appelée CorrectDelivery à des invariants sur les structures de données utilisées dans le protocole (voir la section 6.1).

0.3.4 Conception et mod´elisation de IdealPastry

Une analyse plus poussée du contre-exemple trouvé pour la version CastroPastry conduit à la découverte de la raison fondamentale de la violation de la propriété Cor-rectDelivery: en effet, le protocole choisit d’envoyer l’état du destinataire après sa mise `

a jour plutôt que celui avant. Alors que le nœud destinataire du message améliore sa vision de l’état global par l’information contenue dans le message, cette mise à jour n’apporte aucune information supplémentaire à l’émetteur du message. Elle peut cepen-dant détruire des informations utiles qui se trouvaient dans l’état local du destinataire avant la mise à jour. Ainsi, une solution à ce problème est de renvoyer l’état antérieur du nœud en réponse au message re¸cu, et nous allons introduire cette modification au protocole à la section 3.2.4.

(34)

HaeberlenPastry est nécessaire pour prévenir au problème de nœudsokqui pour-raient être oubliés: un nœud pourrait réussir à échanger des messages probe à l’aide de nœuds qui rejoignent l’anneau mais sans être ajouté au voisinage du nœud readyle plus proche. Davantage de détails seront donnés à la section 3.2.4.

Intégrant toutes les améliorations trouvées pendant la phase de model checking, nous obtenons le modèle IdealPastry en TLA+. Ce modèle est disponible en ligne `

a VeriDis (2013).

Le modèle IdealPastry suppose qu’il n’y a jamais deux nœuds qui cherchent à rejoindre l’anneau entre deux mêmes nœuds ready proches l’un de l’autre. Cette hypothèse est réalisée en empêchant un nœud à traiter d’autres requêtes join dès lors qu’il répond à une requête join d’un nœud proche. Au-delà de ce nœud, ses voisins doivent également être empêchés à traiter des requêtes join. Puisque le fait de bloquer d’autres nœuds nécessite une communication entre les nœuds, la version IdealPastry ne décrit qu’un protocole abstrait et idéalisé qui nécessite une réalisation algorithmique pour sa mise en œuvre.

0.3.5 Validation de IdealPastry

Le modèle formel IdealPastry est validé à l’aide de TLC, et le résultat peut être trouvé en ligne au même endroit que le modèle à VeriDis (2013).

0.3.6 V´erification de IdealPastry

Le modèle IdealPastry est vérifié par une preuve inductive d’invariants, sous la dou-ble hypothèse qu’aucun nœud ne quitte le réseau et qu’il n’y ait pas deux nœuds qui cherchent à rejoindre l’anneau dans la région couverte par un nœud ready et ses voisins immédiats.

La partie la plus subtile de cette preuve déductive est la définition d’un invariant in-ductif approprié qui implique la propriété qui nous intéresse et qui est préservé par toutes les actions du protocole. Cette définition est guidée par construction de la preuve, lors de laquelle nous utilisons TLC pour découvrir tôt des violations inattendues d’invariants hypothétiques. Plus précisément, les défis suivants sont confrontés pendant la preuve d’invariants inductifs.

D’abord, il faut séparer consciencieusement les lemmes statiques sur les struc-tures de données des invariants sur le comportement dynamique du système. Puisque le modèle qui représente Pastry contient plusieurs structures de données complexes telles que l’anneau, les leaf set et la table de routage avec des opérations complexes, les propriétés de ces structures de données et des opérations associées sont démontrées séparément de la preuve inductive, afin que cette dernière soit focalisée sur l’aspect dy-namique. Dans la syntaxe des formules, cette séparation est indiquée par le fait qu’une formule porte sur toute instance arbitraire de la structure de données ou qu’elle concerne une variable d’état précise qui implante la structure en question dans le protocole. Par exemple, une propriété que nous avons eu à démontrer énonce que l’ajout d’un nœud `

a un leaf set appartenant `a un nœud n ne peut que r´eduire la distance entre n et ses

(35)

0.3 Notre preuve de Pastry voisins immédiats. Bien que cette propriété évoque la modification d’un leaf set, elle s’applique à tout nœud et non seulement à un nœud particulier dans une certaine phase du protocole. Il s’agit donc d’une propriété statique concernant la structure de données des leaf set et non d’un invariant. Une autre propriété dit que si le nœud i appartient au leaf set d’un autre nœud j qui n’est pas en train d’aider i à rejoindre l’anneau, alors le leaf set du nœud i n’est pas vide. Cette propriété est un invariant car la question si le leaf set du nœud i est ou n’est pas vide est une propriété dynamique.

Ensuite, il peut être difficile de trouver des généralisations appropriées d’invariants qui doivent être démontrés à être préservés par toutes les actions du système de tran-sitions correspondant à l’algorithme Pastry. Effectivement, l’ensemble des invariants ne peut être finalisé qu’en même temps que les preuves car un nouvel invariant pourra être découvert lors de la preuve d’un cas particulier d’un invariant existant. Il est important d’esquisser la preuve entière d’invariance a priori afin d’éviter d’être perdu dans les détails de formulation. L’attention à des cas particuliers et la découverte de contre-exemples sont utiles pour la construction de l’invariant. Il n’est pas toujours possible d’utiliser le model checker: un cas particulier important n’a été trouvé qu’à la main pendant la recherche d’invariants. Ce contre-exemple à la propriété CorrectDelivery n’apparaˆıt que si plus de cinq nœuds interviennent, dont trois qui rejoignent l’anneau à des positions spécifiques. Les détails seront expliqués à la section 6.4.2.

Troisièmement, il n’est pas toujours trivial de donner les arguments appropriés à la preuve mécanique, y compris les appels nécessaires à des lemmes et faits précédemment démontrés. Des étapesévidentespour l’humain qui applique un raisonnement logique implicite peuvent devenir des étapes compliquées de preuve nécessitant l’énumération de lemmes triviaux mais nécessaires. Parfois l’esquisse manuelle de la preuve comporte effectivement des lacunes importantes qui doivent être adressées. Dans ce cas il faut con-struire une nouvelle esquisse de preuve, nécessitant sa reconstruction ou parfois même une modification de l’invariant. C’est pourquoi le recours à un outil de preuve automa-tique est une aide cruciale à la construction et la vérification de la preuve. Dans d’autres cas, l’outil peut être incapable de démontrer une certaine obligation pourtant valide, et il faut alors décomposer sa preuve en un niveau supplémentaire d’interaction.

`

A la fin, une preuve déductive complète a été construite dans le langage de preuve de TLA+. Elle consiste en environ 10000 étapes de preuve qui sont toutes vérifiées à temps par TLAPS en faisant appel à différents outils de preuve automatisés. Les détails seront expliqués à la section 6.3.

0.3.7 Relˆacher les hypoth`eses

Un contre-exemple à la propriété CorrectDelivery sur le modèle IdealPastry est découvert `

(36)

0.3.8 Conception et mod´elisation de LuPastry

L’analyse du problème de requêtes join concurrentes conduit à une amélioration de la conception de Pastry appelé LuPastry. Dans cette version, un nœud readyajoute directement le nœud qui cherche à rejoindre l’anneau dès la réception de la requête, et n’accepte aucune nouvelle requête join avant d’avoir re¸cu la confirmation que le nouveau nœud est lui-même devenu ready. Le modèle formel de LuPastry est expliqué au chapitre 4.

0.3.9 Validation de LuPastry

Le modèle LuPastry est validé par TLC, et les résultats apparaissent au tableau 5.3.

0.3.10 V´erification de LuPastry

Nous démontrons que le modèle LuPastry vérifie également la propriété CorrectDelivery pour peu qu’aucun nœud ne quitte le réseau. Les invariants de ce modèle sont introduits `

a la section 6.5.

Il n’est pas trivial d’adapter la preuve de IdealPastry à LuPastry. TLAPS dispose d’une commande pour examiner le statut d’une preuve et de ses sous-preuves, et cette commande indique quelles étapes de la preuve sont affectées par les modifications du modèle. Cependant, de nombreuses étapes de preuve ne sont plus valides, et ces étapes doivent être étudiées attentivement. Les détails des modifications apportées aux invariants et aux preuves sont indiqués à la section 6.4.4.

Un exemple d’une preuve en TLA+ est donné à la fin du chapitre 6, expliquant la syntaxe et l’usage de TLAPS. La preuve formelle entière est trop longue pour être incluse dans cette thèse; elle est disponible en ligne à VeriDis (2013).

0.4 Contributions de la th`

ese

La contribution principale de cette thèse est l’analyse et l’amélioration d’un algorithme réel Pastry réalisant une DHT . Ainsi, nous illustrons et étendons l’usage de méthodes formelles pour la vérification d’algorithmes répartis. Cette section résume nos contribu-tions qui ont en fait déjà été mentionnées dans les sections précédentes.

• L’algorithme Pastry introduit par Castro et al. (2004) est modélisé formellement au niveau des échanges de messages par le modèle CastroPastry (section 3.1.3). Il s’agit du premier modèle formel et complet d’un tel algorithme complexe P2P . Sa version améliorée par Haeberlen et al. (2005) est également représentée dans le modèle HaeberlenPastry.

• Une propriété fondamentale de correction de Pastry est définie et représentée par la formule CorrectDelivery (section 4.3.2). Elle dit qu’à tout moment il existe au plus un nœud qui peut délivrer une clef, et que c’est le nœud ready le plus proche de la clef.

(37)

0.4 Contributions de la thèse • Le protocole join de Pastry est étudié en détail. Des violations de CorrectDelivery par les modèles CastroPastry et HaeberlenPastry sont exhibées et analysées aux sections 3.2 et 5.2.

• Les modèles HaeberlenPastry, IdealPastry et LuPastry introduisent différents statuts de nœuds (dead,waiting,oketready) reflétant leurs progres-sions dans le protocole join et leurs capacités à délivrer des clefs (section 3.3.2). Les seuls nœudsreadysont supposés de disposer d’informations cohérentes quant à la couverture de clefs et sont autorisés à délivrer des requêtes lookup.

• Le mod`_{ele IdealPastry résume les améliorations induites par l’analyse de} Castro-Pastry et HaeberlenCastro-Pastry. Nous démontrons par une preuve inductive d’invariants qu’il vérifie la propriété CorrectDelivery, sous les hypothèses qu’aucun nœud ne quitte le réseau et que deux nœuds ne cherchent jamais à rejoindre l’anneau dans la région couverte par un nœud readyet ses voisins immédiats.

• Une sp´_{ecification formelle LuPastry de l’algorithme Pastry est con¸cue sur la base} de IdealPastry (introduite en pseudo-code à la section 3.3.3). Son amélioration réside dans le fait qu’un nœud ready ajoute un nœud arrivant dans le réseau dès qu’il traite la requête join et n’accepte alors plus de requête join jusqu’à ce qu’il re¸coive la confirmation que le nouveau nœud est devenuready. Le modèle LuPastry est démontrée correct par rapport à CorrectDelivery sous l’hypothèse qu’aucun nœud ne quitte l’anneau. Les invariants utilisés dans la preuve sont in-troduits à la section 6.5. Il n’est pas facile de relâcher cette hypothèse sur le départ de nœuds à cause de contre-exemples qui montrent qu’une séparation permanente du réseau peut intervenir lorsque plusieurs nœuds partent simultanément.

• Le model checker TLC est utilisé de manière intensive pour déboguer et valider les différents modèles de Pastry sur des instances impliquant entre trois et cinq nœuds. Des versions simplifiées sont con¸cues afin de surmonter le problème de l’explosion combinatoire de l’espace d’états. Nous résumons nos expériences et nos propositions quant à l’utilisation de TLC au chapitre 5 qui donne également les détails de nos résultats.

• La plate-forme TLAPS de preuve interactive est utilisée afin de conduire les preuves formelles démontrant que les modèles IdealPastry et LuPastry vérifient la propriété CorrectDelivery. Cette preuve montre la correction des modèles formels quant à la propriété visée; elle illustre également la possibilité d’utiliser TLAPS pour une preuve de grande taille impliquant plus de 10000 étapes de preuve. • L’étude de cas qui consiste à démontrer que les modèles IdealPastry et

(38)

0.5 Structure du m´

emoire de th`

ese

La suite de ce mémoire est structurée comme suit. Le chapitre 2 donne un état de l’art concernant les systèmes P2P et les techniques de vérification formelle nécessaire à la compréhension de ce qui suit.

Le chapitre 3 introduit le protocole Pastry au niveau conceptuel, partant du pseudo-code pour CastroPastry, fondé sur Castro et al. (2004), en passant par des dia-grammes de flot pour HaeberlenPastry, inspiré par Haeberlen et al. (2005) et Ideal-Pastry en tant que premier modèle formellement vérifié, et aboutissant à LuPastry, introduit à nouveau par du pseudo-code et des éléments de sa preuve.

Au chapitre 4 nous introduisons le modèle formel de LuPastry et ses propriétés de correction. Le chapitre 5 illustre l’utilisation du model checker TLC pour la valida-tion des modèles et l’analyse de la propriété de correction. Quelques contre-exemples illustratifs sont présentés en détail. La démarche de la preuve déductive est introduite au chapitre 6 et appliquée à la vérification de HaeberlenPastry, IdealPastry et LuPastry.

Le chapitre 7 introduit d’autres systèmes P2P réalisant des DHT et compare le travail mené dans cette thèse avec d’autres approches pour la vérification de protocoles de réseaux.

Au chapitre 8 nous résumons cette thèse en rappelant ses contributions, et nous énon¸cons quelques perspectives pour des travaux futurs.

(39)

1 Introduction

Pastry (Rowstron and Druschel (2001), Castro et al. (2004), Haeberlen et al. (2005)) is a structured P2P algorithm realizing a Distributed Hash Table (DHT , by Hellerstein (2003)) over an underlying virtual ring of nodes. Several implementations of Pastry are available and have been applied in practice, but no attempt has so far been made to formally describe the algorithm or to verify its properties. Since Pastry is a typical realization of a DHT which combines rather complex data structures, asynchronous communication, concurrency, resilience to churn, i.e. concurrent join and departure of nodes, it makes an interesting target for verification.

This thesis models Pastry’s core algorithms, which provide the correct lookup ser-vice in the presence of churn and maintain a local data structures to adapt the dynamic updates of neighborhood. This chapter starts with the motivation of the research inter-ests, then states explicitly the research goals and explains how these goals are achieved by the work. At the end, a structural guidance will be given for reading the thesis.

1.1 Motivation

In our day-to-day life, disruptions of software systems such as Skype (Microsoft (2013)) directly disturb everyone’s daily life when people cannot make calls, or calls are dropped in the middle of a conversation. Skype is known and used world-wide by billions of users for making phone-calls over Internet. On Thursday, 16th August 2007, the Skype peer-to-peer (P2P ) network became unstable and suffered a critical disruption despite of its peer-to-peer network with an inbuilt ability to self-heal. “This event revealed a previously unseen software bug within the network resource allocation algorithm which prevented the self-healing function from working quickly.” as reported in Arak (2007). Unfortunately on 23rd_{December 2010, millions of users could not make phone calls again} due to the departure of several “super nodes”. Is there any fundamental problems of such network design that causes unexpected outage again and again? If not, is there a fundamental proof of its correctness?

Although it is not published how Skype uses the idea of P2P algorithm in its deploy-ments of services, there is no doubt that the scalability of Skype benefits significantly from the adoption of P2P networks, making it feasible to provide billions of phone calls simultaneously world-wide, according to Microsoft (2013). P2P systems have become popular since beginning of 21stcentury with their self-organization and decentralization properties. In particular, structured P2P systems implement Distributed Hash Tables (DHTs), which are supposed to provide

(40)

1 Introduction

• distributed maintenance of structure with low costs;

• and resilience to concurrent joins and departures of network members.

For these reasons, DHT is typically used in large-scale distributed systems such as Dynamo (DeCandia et al. (2007)), a storage substrate that Amazon uses internally for many services. Skype may implement DHT for its peers to find each other correctly and efficiently.

However, the correctness of a DHT system relies heavily on its realizing algorithms. Pastry is one of the successful realization1 of DHT . It realizes DHT by mapping object keys (e.g. identifier for a piece of distributed data) to overlay nodes (e.g. the computer connected to the Internet) and offers a lookup primitive to route a message to the node responsible for a key.

Questions About Pastry

Since Pastry implements all properties of a DHT , it is interesting and crucial to under-stand the fundamental mechanisms of Pastry and to analyze and prove its correctness properties. Castro et al. (2004) introduces Pastry on the message level using pseudocode. Starting from this paper, it will be interesting to know the insights of Pastry:

• How does Pastry work, in particular, how does the protocol realized the DHT ? • What does “dependable routing” formally mean? Does Pastry guarantee

depend-able routing? If so, to what extent, and how? Is there any fundamental design flaw in Pastry, in particular Castro et al. (2004), with respect to its correctness properties, such as dependable routing? If yes, how does the problem occur? If not, is there a formal proof?

• Are there other interesting properties of such a system implementing a DHT ? Are they interrelated?

How does Pastry Work

In Pastry, the overlay nodes are assigned logical identifiers from an Id space of naturals in the interval [0, 2M − 1] for some M . The Id space is considered as a ring as shown in Figure 1.1, i.e. 2M _{− 1 is the neighbor of 0.}

The Ids are also used as object keys, such that an overlay node is in particular responsible for keys that are numerically close to its Id, i.e. it provides the primary storage for the hash table entries associated with these keys. Key responsibility is divided equally according to the distance between two neighbor nodes. If a node is responsible for a key we say it covers the key, as illustrated in Figure 1.1.

1

This thesis distinguishes the level of abstraction of an algorithm. Therefore, “realization” is used to described the refinement from DHT to a real algorithm Pastry and “implementation” is used to describe different versions of this algorithm. Both of the words describe different level of details of design and neither of these two words are used in the meaning of executable software.

Formal verification of the Pastry protocol

HAL Id: tel-01750356

https://hal.univ-lorraine.fr/tel-01750356

Formal verification of the Pastry protocol

Tianxiang Lu

To cite this version:

AVERTISSEMENT

Ce document est le fruit d'un long travail approuvé par le jury de

soutenance et mis à disposition de l'ensemble de la

communauté universitaire élargie.

Il est soumis à la propriété intellectuelle de l'auteur. Ceci

implique une obligation de citation et de référencement lors de

l’utilisation de ce document.

D'autre part, toute contrefaçon, plagiat, reproduction illicite

encourt une poursuite pénale.

Contact : ddoc-theses-contact@univ-lorraine.fr

LIENS

Code de la Propriété Intellectuelle. articles L 122. 4

Code de la Propriété Intellectuelle. articles L 335.2- L 335.10

http://www.cfcopies.com/V2/leg/leg_droi.php

Formal Verification of the Pastry Protocol

Tianxiang Lu

Dissertation zur Erlangung des Grades

des Doktors der Naturwissenschaften

der Naturwissenschaftlich-Technischen Fakult¨

aten

der Universit¨

at des Saarlandes

V´

erification formelle du protocole Pastry

Abstract

Zusammenfassung

R´

esum´

e

摘

摘

摘要

要

要

Acknowledgements

Contents

List of Figures

0 R´

esum´

e ´

etendu

0.1 Motivation

0.2 M´

ethodologie

0.3 Notre preuve de Pastry

0.4 Contributions de la th`

ese

0.5 Structure du m´

emoire de th`

ese

1 Introduction

1.1 Motivation

_摘要

_要

_要